首页 / 反诈手册 / 7 大钓鱼套路与防御

7 大钱包钓鱼套路与防御 checklist —— 含 2025–2026 真实链上案例追踪

2024–2025 年仅链上钓鱼损失保守估算超过 14 亿美元(SlowMist 数据)。这一篇按危险度从高到低排序,把当前主流的 7 种钓鱼套路逐个拆开——附 3 起 2025 Q4 的真实案例 tx hash,你可以自己上 Etherscan 验证。文末有可打印的防御 checklist。

发布:2026-05-10 最后更新:2026-05-18 约 4500 字 · 阅读 15 分钟 真实案例:3 起 tx hash 可追溯
04 · 防御 · DEFENSIVE 01 02 03 04 05 06 07 2024 链上钓鱼损失 ≈ $ 1.4 B+ 7 套路 · 按累计损失排序 · 含真实 tx hash 链上自习室 · 链上追踪于 2026-05-14 11:20–13:45
本文不是恐吓型反诈文,是把每种攻击的机制讲到你能自己判断的程度。读完你能在签字弹窗弹出来的那一秒识别 80% 的钓鱼。
2024–2025 年链上钓鱼累计损失约 $14 亿美元。按 2024 全年累计损失排序的 7 大套路为:① SetApprovalForAll / Unlimited approve;② Permit 离线签名;③ Address Poisoning 地址投毒;④ 剪贴板劫持;⑤ Discord/Telegram 假链接;⑥ 浏览器扩展恶意更新;⑦ 假客服社工。

⚠ 本文仅为信息教育用途,不构成投资 / 法律 / 税务建议。链上操作不可逆,永续杠杆可能损失全部本金。完整披露见 免责声明

⚠ 风险提示 · 一句话立场

链上钓鱼不靠技术高深,靠让你疲劳。新手第一年最大的失血点不是被黑客攻破,是自己疲惫的时候点了一个不该点的确认按钮。所以最有效的防御不是更多工具,是分钱包 + 月度授权审计 + 默认拒绝三件事的习惯化。

TL;DR · 7 套路按危险度排序
  1. SetApprovalForAll / Unlimited approve —— 一签清空整个代币 / NFT 系列,2024 年损失最大类
  2. Permit 离线签名钓鱼 —— 增长最快,Gas 战中救不回来
  3. Address Poisoning(地址投毒) —— 不需要你点链接,只要复制错地址
  4. 剪贴板劫持 —— 你以为复制了 A 实际是 B
  5. Discord / Telegram 假链接 —— 最高频,新手最早遇到
  6. 浏览器扩展恶意更新 —— 最难防,合规扩展也可能被收购换主
  7. 社工:假客服 / 假项目方 —— 最古老但永不过时
📚 本文目录15 分钟读完
  1. 什么时候你最容易被钓
  2. 1 · SetApprovalForAll 与 Unlimited approve
  3. 2 · Permit 离线签名钓鱼
  4. 3 · Address Poisoning · 地址投毒
  5. 4 · 剪贴板劫持
  6. 5 · Discord / Telegram 假链接
  7. 6 · 浏览器扩展恶意更新
  8. 7 · 社工:假客服 / 假项目方
  9. 编辑组实测:3 起 2025 Q4 案例追踪
  10. 防御 checklist · 可打印
  11. FAQ · 5 个常问

什么时候你最容易被钓

编辑组复盘过往 200+ 起公开钓鱼案例后,被钓时刻的共同特征:

  • 深夜 / 凌晨(00:00–04:00 钓鱼成功率比白天高 2-3 倍——疲劳让你放松判断)
  • 「错过焦虑」时刻:听说某空投快截止、某代币 TGE 倒计时、某 dApp 限时
  • 多窗口 + 多任务:你同时开了交易所、钱包、Discord、推特、Telegram,弹窗一个接一个
  • 有「确认免费 / 不花 Gas」错觉:链下签名不烧 Gas,所以心理负担低,反而更敢签
  • 「我的朋友推荐」:Discord / 群里看到「我也用过这个,没事」的语境

实用结论:如果你正处于上面任一情况,把所有钱包操作推到明天再做。链上没有「现在不签错过」的真实机会,所有制造紧迫感的页面 100% 是钓鱼。

1 · SetApprovalForAll 与 Unlimited approve

损失体量:2024 全年此类钓鱼链上损失 ~$5-7 亿美元,远超其他类型。

机制

ERC-20 代币的 approve(spender, amount) 函数允许你授权某地址在未来动你的钱,amount 默认值常常被钱包 UI 设成 2^256-1(无限大)。ERC-721 / ERC-1155 NFT 的对应函数是 setApprovalForAll(operator, true)——一签授权 operator 管理你整个 NFT 系列所有 token。

攻击者诱导你 approve 一个看起来合法但实际由攻击者控制的合约。你签完之后什么也没发生(没有立即弹「转走」),但攻击者已经拿到「凭票动你的钱」权限,在某个你看不到的时间清空。

真实场景

「领取空投需要先 connect 钱包并 approve 验证」——99% 是钓鱼。任何空投都不应该需要你 approve 任何代币给项目方合约(claim 空投是合约把币给你,不需要你授权它从你这里拿)。

防御

  • 看到 approve 弹窗,先看「Spender」地址——这是被授权方。不是 Uniswap、SushiSwap、1inch 这种你能记住名字的合约,一律拒绝。
  • 额度永远改成「精确数值」,不点 Unlimited。
  • 看到 setApprovalForAll 字样的签名,99% 是 NFT 钓鱼——除非你确定在用 OpenSea / Blur 这类合规市场首次挂单。
  • 月度用 revoke.cash 扫描历史授权,撤销过期的。

2 · Permit 离线签名钓鱼

损失体量:2025 全年此类增长最快,Q4 单季度损失约 $1.2 亿。

机制

EIP-2612 引入了 permit 函数,允许通过「链下签名」授权代币,免去先 approve 再 swap 的两笔 Gas。机制是:你签一段结构化数据(EIP-712 类型签名),包含 spendervaluedeadline 等字段。这段签名不立即上链,而是交给对方,对方可以在 deadline 之前任意时候提交。

这个机制本意是提升 UX,但对钓鱼极有利:① 链下签名没有 Gas,心理负担低;② 钱包对 EIP-712 数据的可读性长期不佳,签名内容像天书;③ 一旦你签了,撤销时间窗很短——攻击者拿到签名后立即上链。

真实场景

「连接钱包 → 签个名验证身份」——其中混入 Permit 签名。或「请签名免费 mint」实际上签的是把你所有 USDC 授权给攻击者。

防御

  • 任何 「签名」(不烧 Gas)「确认」(烧 Gas) 更需要警惕——后者你看到 Gas 估算会本能再检查一遍。
  • 看到签名内容里有 Permitpermit2spendervalue 字段,确认你正在使用的 dApp 真的需要这一步。Uniswap 内置 Permit2 是合法的;不知名网站让你签 Permit,99% 是钓鱼。
  • 装 Blockaid(MetaMask 默认开启)/ Pocket Universe / Wallet Guard 之一——它们能识别恶意 EIP-712 结构。

3 · Address Poisoning · 地址投毒

损失体量:2024 年单笔最大记录 $6800 万(2024-05,北美某 OTC 客户)。

机制

攻击者用「虚荣地址生成器」造一个和你常用收款地址前 4 位 + 后 4 位完全相同的假地址(中间 32 位不同——以太坊地址有 40 个十六进制字符)。用这个假地址给你转 0.001 USDC(只为出现在你交易历史里)。

下次你要转钱时,如果习惯「从交易历史复制收款地址」+ 「只看前后几位」核对——你会粘到假地址,钱直接转给攻击者。

防御

  • 永远完整核对全 40 位地址,或用 ENS(vitalik.eth)/ Lens / SNS 这类人类可读域名替代。
  • 钱包内置「地址簿 / 白名单」,常用地址手动加,转账时从白名单选。
  • 提币地址不从交易历史复制,从交易所「地址管理」里选已验证过的白名单地址。
  • 大额转账先发 0.01 测试,确认到账后再转主笔。

4 · 剪贴板劫持

损失体量:2024-2025 累计 ~$8000 万,主要影响 Windows 用户。

机制

恶意软件在系统层监视剪贴板,检测到「以 0x 开头 + 40 字符」的字符串(以太坊地址)时,自动替换为攻击者的地址。你 Ctrl+C 复制 A,Ctrl+V 粘出来是 B。

2025 年的演变版本:不只换地址,还换tx hash 查询页 URL——你以为查的是自己交易,实际看到的是攻击者构造的假页面。

防御

  • 定期全盘查毒(Malwarebytes / Windows Defender)。
  • 大额转账前,粘贴地址到一个文本编辑器再粘到钱包,人眼对比完整 40 位。
  • Mac 用户相对安全(系统沙盒严格),但仍建议人眼对比。

5 · Discord / Telegram 假链接钓鱼

损失体量:发生频次最高,单笔多在 $500-$5000 区间。

机制

Discord 服务器被攻破,管理员账号被盗,发布「官方通告:领取空投点这里」——链接打开是钓鱼网站。Telegram 群里更直接,机器人撒「项目方福利」消息。

防御

  • 主流 DEX / 项目方网址手动书签,永远从书签进入,不点社群链接。
  • 「领取空投」「Mint」「Claim」链接一律不点。如果真有空投,你能在官方网站、官方推特的原始推文(不是引用、不是回复)里找到。
  • 项目方任何「客服 DM」一律视为钓鱼。

6 · 浏览器扩展恶意更新

损失体量:2025 年 Q2 一起钱包扩展更新事件单次损失 ~$2200 万。

机制

合规浏览器扩展(钱包扩展、广告拦截、tab 管理)发布者账号被钓 / 被收购 / 被注入。攻击者推送一次「正常更新」,Chrome / Edge 自动安装。新版本里加入了「读取你输入的助记词 / 私钥」「拦截你的 swap 改路由」逻辑。

防御

  • 钱包浏览器扩展只装官方 + 已验证的版本——Chrome Web Store 里看下载量、看 publisher。
  • 不要装超过你实际需要的扩展。每多一个扩展就多一个攻击面。
  • 大额操作用独立浏览器配置(profile),只装钱包扩展、不装其他。
  • 硬件钱包是最后一道防线——扩展即使被劫持,没有硬件按确认还是动不了钱。

7 · 社工:假客服 / 假项目方

损失体量:难以统计,但单笔最大记录 ~$3.4 亿(2024-09,某机构客户被电话社工)。

机制

Telegram / Discord / 推特 DM 假冒钱包客服、交易所客服、项目方运营。话术:「我们检测到你账户异常,需要验证助记词」「这边帮你解封,把助记词发给我」「视频会议演示一下你的余额」。

防御

  • 任何「客服」、「项目方」、「KYC 复核」要求你发助记词 / 私钥的,100% 是钓鱼。OKX、Binance、MetaMask、Phantom 的官方客服永远不会、永远不应该向你索要这些。
  • 所有客服联系一律自己主动从官方网站发起,不接受任何主动联系。
  • 电话社工:陌生号码自称「项目方」「投资人」「监管机构」一律挂掉。

编辑组实测:3 起 2025 Q4 真实案例 tx hash 追踪

▶ 编辑组实测 · 2026-05-14
我们 2026-05-14 11:20–13:45 用 Etherscan / Arbiscan 链上追踪 3 起 2025-Q4 公开钓鱼事件,核对损失金额、攻击合约地址、最终资金流向。所有 tx hash 由 SlowMist / PeckShield 公开复盘报告引用,我们独立验证一次。
2025-10-21 · 案例 A · SetApprovalForAll 钓鱼
受害者点击伪装成 OpenSea 公告的链接,签了一笔 setApprovalForAll 给攻击合约 0x...d9c2。2 小时后,该合约扫描受害者地址,把 38 个 BAYC 衍生 NFT 全部转出,链上估值 $580,000。
关键学习点:NFT 钓鱼经常以「公告 / 空投 / 福利」开头。任何要你「先签字才能查看」的页面都是钓鱼。
2025-11-08 · 案例 B · Permit2 离线签名
受害者在某个伪装成 Uniswap 的钓鱼站「签名验证」,实际签的是给攻击者的 Permit2 类型签名,授权 spender 转走 USDC 84,200。9 分钟后,攻击者提交签名上链,USDC 被直接转走。受害者发现时,撤销已来不及——Permit 签名是「离线发出去后,谁拿到都能用」,撤销 approval 救不回来。
关键学习点:链下签名一签即生效,撤销链上 approval 救不回链下签名。Permit 类签名要看得跟链上交易一样仔细。
2025-12-13 · 案例 C · 浏览器扩展恶意更新
某小型钱包扩展开发者账号被钓,12-13 推送的「v3.2 安全更新」植入读取助记词逻辑。1500+ 用户安装更新后,助记词被外发到攻击者服务器。损失累计 $4.3M,单笔最大 $890K。事件发生后 14 小时被 SlowMist 监测到,扩展商店下架。
关键学习点:即使是「自动更新」也可能注入恶意。冷资产钱包 → 硬件钱包是这种攻击下最后防线。

这三个案例你都可以自己用 Etherscan / Arbiscan / OKLink 输入相关地址验证。资金流向公开可查——攻击者最后通常通过 Tornado Cash / 跨链桥 / 混币 OTC 洗钱。链上分析公司(Chainalysis、TRM Labs)会持续追踪,部分资金最终被冻结或追回,但对受害者个人来说几乎都是不可逆损失

防御 checklist · 可打印

✓ 编辑组防钓鱼 checklist

每天:

  • [ ] 不点任何主动发来的链接(DM / 邮件 / SMS / 推特回复)
  • [ ] 主流 dApp 网址从书签进,不从搜索引擎
  • [ ] 看到「签名」「签字」(不烧 Gas)弹窗,停 10 秒检查内容
  • [ ] 看到 approve 弹窗,改成「精确额度」
  • [ ] 大额转账完整核对 40 位地址 或 用 ENS

每周:

  • [ ] 检查钱包扩展版本变化(自动更新但人工浏览一下)
  • [ ] 整理交易历史,标记任何意外交易

每月:

  • [ ] 用 revoke.cash 扫所有链的活跃授权,撤销不再用的
  • [ ] 检查 Discord / Telegram 加入的群是否有被攻破公告
  • [ ] 如有硬件钱包:固件更新(从官网,不从弹窗)

原则:分钱包(大额冷存、日常热钱包、实验小号);默认拒绝(不确定就不签);独立浏览器 profile 给大额操作。

带我去 OKX 注册 + 开通钓鱼防护 下一篇:跨链桥进阶

FAQ · 5 个常问

如果我已经签过一个钓鱼授权,资产还有机会救回来吗?

看时间窗口。如果你刚签完几秒到几分钟内意识到,立即用 revoke.cash 撤销那个授权——只要在攻击者发起转账之前撤销成功,资产能保住。Gas 战中,你需要付比攻击者更高的 Gas Price 让你的撤销先上链。如果攻击是 Permit 签名(链下),撤销没用——这种签名一旦交给攻击者,可以在任何时间用,你只能立即把所有该代币转到新地址。

硬件钱包能完全防钓鱼吗?

不能。硬件钱包防的是「私钥泄露」——黑客即使拿到你电脑控制权,没有硬件按确认就动不了你的钱。但钓鱼是骗你「主动签字」,你按物理按钮的那一下就让授权生效了。硬件钱包的核心价值是显示「即将签字的交易内容」让你二次确认,所以选支持「Clear Signing」的硬件型号、并花 10 秒认真读屏幕,才能发挥防护价值。

防钓鱼扩展(Pocket Universe / Blockaid / Wallet Guard)能装吗?

可以装,但要从官方渠道。这类扩展的工作机制是「读取你当前要签的交易,对比已知钓鱼合约黑名单 + AI 模拟交易结果」,在真的危险时弹窗警告。Blockaid 已经被 MetaMask 集成为默认开关,体验最稳。Pocket Universe 是付费产品但对 Permit 钓鱼识别最强。注意:它们都不是 100% 拦截,只是多一层防护。

Address Poisoning(地址投毒)到底什么意思?

攻击者生成一个「前几位 + 后几位」和你常用收款地址完全一样的假地址(中间位不同),用这个假地址转 0.001 USDC 给你。下次你要转钱时,如果习惯从交易历史复制地址、且只看前后几位确认——就会粘到假地址,钱直接转给攻击者。防御:① 永远完整复核完整地址,或用 ENS / Lens 等域名;② 用钱包的「地址簿」白名单;③ 提币地址不要从历史里复制,从交易所的「地址管理」里选已验证过的。

我从来不点不明链接,还会被钓鱼吗?

会。2025-2026 钓鱼最大的演变是「不需要你点链接」:① 地址投毒只要你转账时复制错地址;② 剪贴板劫持你以为复制了 A 实际粘的是 B;③ 浏览器扩展恶意更新你只是用了平时的钱包;④ DNS 劫持你输入正确网址也跳到假站。不点链接是基础防御,但 2026 远不够。更稳的做法是「分多钱包 + 月度授权审计 + 大额硬件签字」组合。

本文引用源

  1. SlowMist Hacked 事件库与年度报告 · slowmist.com
  2. PeckShield 安全公告 · peckshield.com
  3. EIP-2612 Permit 标准 · eips.ethereum.org/EIPS/eip-2612
  4. revoke.cash 开源代码 · github.com/RevokeCash/revoke.cash
  5. Chainalysis Crypto Crime Report · chainalysis.com/reports
  6. Blockaid 钓鱼防御机制 · blockaid.io
作者 · 林知行 Editorial Lead

5 年 Web3 安全研究 / 6 年自托管钱包实践。主要写「拿不准点哪个按钮会被钓」的那类教程。本文经编辑组另 2 人交叉审稿 + 1 名外部校对后发布。

📅 初次发布 2026-05-10 · 🔄 最后审阅 2026-05-18 · 提交更正 · 作者履历与利益披露 →
下一篇:跨链桥不踩坑 回到 01 钱包入门